Le règlement européen sur la résilience opérationnelle numérique (DORA) est entré en vigueur le 16 janvier 2023 et devra être appliqué par les États membres à partir du 17 janvier 2025, soit dans exactement un an. DORA incarne la réponse de l’UE au nombre croissant de cyberattaques visant des institutions financières. Confirmant cette tendance, le rapport Cost of a data breach 2023 de WESTPOLE, partenaire d’IBM, indique que :

Depuis 2020, le coût d’une violation de données a augmenté de 15,3 %, passant de 3,49 millions EUR à 4,02 millions EUR. 

Les services financiers sont le deuxième secteur le plus exposé, précédé seulement par le secteur de la santé.

Les petites organisations sont plus durement touchées, probablement parce qu’elles investissent moins dans la sécurité et la prévention.

Compte tenu des vecteurs de menace courants, tant internes qu’externes, l’appel à la protection de la confidentialité des données est exponentiellement élevé dans le secteur financier. En plus de faire subir des pertes directes (dommages financiers, atteinte à la réputation, actions en justice, etc.) aux acteurs financiers, les hackers ont souvent accès à des millions de transactions et de dossiers de clients. Selon WESTPOLE, l’impact de la loi DORA pour les entreprises et les institutions concernées est aussi important que celui du RGPD.

Antonio Baptista da Silva, Compliance Officer chez WESTPOLE Benelux, basé au Luxembourg, explique: «DORA est conçu pour renforcer la sécurité des entreprises financières européennes, telles que les banques, les compagnies d’assurance, les entreprises de paiement et d’investissement, etc. En imposant des exigences en matière de cyber-résilience, les organismes financiers devraient être mieux préparés à garantir que leurs services ne sont pas perturbés par des cyberattaques, des interruptions de service ou d’autres risques.»

À seulement 365 jours de la date butoir d’application de la loi, la mise en conformité des institutions financières, quelle que soit leur taille, avec la loi DORA pourrait constituer un défi. DORA stipule des exigences techniques pour les organismes financiers et les fournisseurs ICT dans quatre domaines : gestion des risques ICT, gestion des risques tiers, réponse aux incidents et reporting, tests de résilience. Le partage d’informations est également encouragé.

«L’expérience de WESTPOLE nous apprend que, de l’analyse à la mise en œuvre, il faut 18 à 24 mois pour suivre cette feuille de route, en fonction de la taille de la structure et des cyber-risques révélés par l’analyse initiale», affirme Antonio Baptista da Silva. «DORA s’applique aux organismes financiers et à leurs fournisseurs ICT respectifs. L’analyse de la gestion des risques, à la fois en interne et vis-à-vis des fournisseurs ICT tiers, est considérée comme le volet le plus complexe de ce processus. Les organismes ne seront pas autorisés à passer des contrats avec des fournisseurs ICT qui ne répondent pas à ces exigences. La moitié de la période de mise en œuvre étant déjà écoulée, le temps presse pour les institutions financières qui viennent d’entamer cette transition ou doivent encore le faire.»

«L’utilisation d’un outil de gouvernance et de conformité aux risques est souvent la première étape, car elle permet aux organismes de se conformer à diverses réglementations et normes de gestion des risques (DORA, NIS2, RGPD...) dans un environnement unique», conclut le Compliance Officer. «Même si la voie menant à la conformité est encore longue pour certains organismes financiers, ce type d’outil prouve tout d’abord l’intention de se conformer à la réglementation. Ensuite, il simplifiera la partie analytique du processus de conformité et toutes les étapes suivantes.»

Pour de plus amples renseignements ou une interview, veuillez contacter
Jeroen Nedergedaelt: , +32 2 658 02 96 ou +32 485 64 82 36. Vous trouverez tous les communiqués de presse de WESTPOLE sur notre site